随着汽车智能化、网联化的不断发展与应用,车辆的信息安全问题日益严峻,一旦遭受网络攻击则可能导致用户个人信息泄露及远程入侵控车等严重后果,影响车辆用户的信息、财产、生命等多方面安全,甚至危害社会与国家安全。因此,制定汽车信息安全强制性技术标准已成为我国发展智能网联汽车的必然要求。GB 44495-2024《汽车整车信息安全技术要求》是由工业和信息化部提出并归口的强制性国家标准,由国家市场监督管理总局、国家标准化管理委员会于2024年8月23日批准发布(国家标准公告2024年第18号文),并将于2026年1月1日起正式实施。标准规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求及同一型式判定,描述了相应的检查与试验方法。适用于M类、N类及至少装有1个电子控制单元的O类车辆。汽车信息安全:汽车的电子电气系统、组件和功能被保护,使其资产不受威胁的状态(来源于《GB/T 40861-2021 汽车信息安全通用技术要求》)。汽车信息安全管理体系:包括组织流程、责任和治理,以处理与车辆网络威胁相关的风险并保护车辆免受网络攻击(来源于《GB/T 44373-2024 智能网联汽车:术语与定义》)。
车辆制造商应具备车辆全生命周期的汽车信息安全管理体系,车辆产品开发流程应遵循汽车信息安全管理体系,针对风险识别、管理、评估的组织流程、责任和治理措施对车辆制造商提出了明确的要求。针对远程入侵、近距离攻击、用户侧接触攻击等智能网联汽车典型攻击场景,在外部连接、通信安全技术、软件升级安全、数据安全等方面提出明确要求。
(1)外部连接安全要求
GB 44495-2024首先强调了对外部连接安全性的防护,旨在防止攻击者通过外部连接侵入汽车系统,从而避免敏感数据泄露、未授权访问及恶意攻击,确保汽车业务的持续运行与稳定性。测试的主要对象包括TBOX、工业以太网接口、Wi-Fi接口、关键零部件的固件、第三方应用程序、APP、USB接口以及CAN诊断接口等。
(2)通信安全技术要求
通信网络是现代社会数据传输的核心,在车辆行驶过程中,与外界设备的数据交互离不开通信网络的支持。当前,通信安全面临着黑客攻击、病毒传播和数据泄露等日益复杂的威胁,这些威胁不仅可能导致企业经济损失,还可能威胁国家安全和社会稳定。因此,将通信安全纳入GB信息安全标准,是构建全方位、多层次信息安全防护网的重要举措,旨在确保信息系统的稳定运行和数据的安全传输。主要的测试对象包括网络通信协议、WLAN、蓝牙、V2X通信、射频钥匙和OBD接口等。
(3)软件升级安全要求
软件升级是提升系统性能、修复漏洞和改善用户体验的关键方式,但升级过程也可能引入安全风险,如系统不稳定、数据丢失或被恶意软件利用,威胁系统安全。攻击者可能通过伪装升级包或在升级时窃取信息来发动攻击。因此,确保软件升级的安全性对于抵御外部威胁、保护系统安全极为重要。主要测试对象包括车载软件升级系统的ECU、网络通信协议、升级包和升级日志等。
(4)数据安全要求
车内数据的安全不仅关乎个人隐私保护,确保驾乘人员的敏感信息不被泄露和滥用,还直接关系到行车安全,因为关键参数的任意修改可能导致严重的后果。随着汽车信息化的不断进步,数据在其全生命周期中的安全性变得越来越重要。网络攻击、数据泄露和内部误操作等安全事件频发,对个人隐私、企业运营和国家安全构成了严重威胁。因此,强化数据安全保护对于提供可靠的信息安全保障和确保车辆关键参数安全至关重要。GB 44495-2024标准中,数据安全部分的主要测试对象包括IVI、TBOX、网关和ADAS域控制器等关键车内组件。
易鼎丰已建立了功能安全、信息安全、ASPICE融合的开发生产流程体系,打造符合信息安全的智能网联汽车核心电控系统技术底座,助力整车企业满足国家标准要求,为智能网联汽车信息安全产业高质量发展贡献力量。 
